Windows Talk

@Hawkster

Den Bericht betreffend: Hatte mir sowas gedacht, wollte aber keinen Unsinn verbreiten. Von daher hatte ich Optimist an das FAQ verwiesen. Mir persönlich wäre bei einem Trojaner-Befall eine Neuinstallation sicherer. Wer weiß, was der Trojaner, respektive der Exploit, der den Befall ermöglichte, noch alles auf den Rechner geholt hat - Stichwort RootKit.

vielen Dank an Alle, die mir geantwortet hatten ... und für die guten Tipps. :)

Hab heute das Verzeichnis mit den Viren noch mal prüfen lassen --> 2 hat es wieder erkannt, aber den 3. hats heute komischerweise unterschlagen...

Ist das normal, dass ein und dieselbe Datei einmal als infiziert erkannt wird und ein andres Mal nicht?

Optimist schrieb:Hab heute das Verzeichnis mit den Viren noch mal prüfen lassen --> 2 hat es wieder erkannt, aber den 3. hats heute komischerweise unterschlagen...

Ist das normal, dass ein und dieselbe Datei einmal als infiziert erkannt wird und ein andres Mal nicht?

"Normal" würde ich nicht sagen, aber es kann passieren das eine Datei nicht mehr als infiziert angezeigt wird, nachdem ein Update der (Virus)Signaturdatenbank statt gefunden hat.
Dennoch würde ich eine einmal als "infiziert" angezeigte Datei nicht mehr ausführen/öffnen.

@Hawkster

Hawkster schrieb:"Normal" würde ich nicht sagen, aber es kann passieren das eine Datei nicht mehr als infiziert angezeigt wird, nachdem ein Update der (Virus)Signaturdatenbank statt gefunden hat.

Ist dann aber auch irgendwie inkonsequent von dem Programm, bei dem einen wirds ignoriert und bei dem anderen nicht. ;)

Hawkster schrieb:Dennoch würde ich eine einmal als "infiziert" angezeigte Datei nicht mehr ausführen/öffnen.

geöffnet hab ich sie nicht. Aber kann schon was passieren, wenn solche Dateien einfach nur passiv auf der Festplatte "liegen" - ich meine, die Datei hatte ja nicht die Endung *.exe, *.bat oder ähnliches
Die ist nun sowieso nicht mehr vorhanden, weil das Programm sie gelöscht hatte, mich interessiert es trotzdem mal.

Übrigens ich werde immer begeisterter von Wind.8 - je mehr ich mich reinfuchse. :)

Wo ist eigentlich der Unterschied zwischen 8 und 8.1? Sind bei 8.1 lediglich paar Zusatzprogramme dabei, oder sind auch Funktionen unterschiedlich?

@ornis

ornis schrieb: Mir persönlich wäre bei einem Trojaner-Befall eine Neuinstallation sicherer. Wer weiß, was der Trojaner, respektive der Exploit, der den Befall ermöglichte, noch alles auf den Rechner geholt hat - Stichwort RootKit.

Könntest Du mir als Laien in dieser Sache bitte mal erklären, was so ein Trojaner machen könnte, bzw. was mit dem "Rootkit" so richtig gemeint ist?

Meintest Du sowas in der Richtung, dass ein Hacker dann meinen PC übernehmen könnte, diesen steuern könnte usw.?
Wenn ja, würde ich denn solche Aktionen nicht bemerken können - anhand von Verändernungen die nicht von mir stammen...?

@Optimist
http://www.heise.de/download/special-neuerungen-in-windows-8.1-151021.html

Optimist schrieb:Übrigens ich werde immer begeisterter von Wind.8 - je mehr ich mich reinfuchse

bin ebenfalls der Meinung, schade dass es diesbezüglich sehr viele gegenmeinungen gibt, das liegt mMn aber auch an der schusseligen Politik von MS. Sie hätten es den Nutzern (noch) nicht aufzwingen dürfen. (die Modern-UI)

Wikipedia: Rootkit
ein Rootkit ist selbst nur eine "Vorbereitungshandlung" um andere Programme (unbemekrt) installieren zu können.

Ein Trojaner KANN dazu genutzt werden, deinen PC fremd zu steuern.

Insgesamt also alles nicht gut.

Wenn das Anti-Viren Programm die Dateien nicht löschen kann, dann versuche es selbst im abgesicherten Modus oder mit einem Shredder programm.

@Cesair

Vielen Dank für die Links. :)

Cesair schrieb:...
Ein Trojaner KANN dazu genutzt werden, deinen PC fremd zu steuern.

Dazu noch mal diese Frage:

Optimist schrieb:würde ich denn solche Aktionen nicht bemerken können - anhand von Verändernungen die nicht von mir stammen...?

Cesair schrieb:Wenn das Anti-Viren Programm die Dateien nicht löschen kann, dann versuche es selbst im abgesicherten Modus oder mit einem Shredder programm.

können demnach Viren noch Schaden anrichten wenn sie nur ganz normal gelöschrt worden sind?

Verstehe ich nicht so richtig? Gelöschte Programme können doch nicht mehr ausgeführt werden, aber ein Virus ist doch im Prinzip auch nur ein Programm, oder nicht?

@Optimist
ein virus ist ja nur eine oberbezeichnung, das kann ein programm sein, oder mehrere.
Die programme nehmen natürlich veränderungen am system vor, dass sie womöglich weder gefunden, noch gelöscht werden können.

Deshalb gibt es AUCH die Quarantäne Zone, da sich manche Schadprogramme nicht so einfach löschen lassen, somit ist wenigstens die Ausführung blockiert.
Das ist ähnlich, wie bei normaler addware, also nervigen browser leisten.
Einfach das Add-On im browser zu deaktivieren bringt oft nichts, da muss die Registry gesäubert werden und und und.

Du musst dir keine Sorgen machen, dass dein Rechner ferngesteuert wird. diese zielgruppe repräsentierst du nicht. und deine Normale windows firewall ist da auch ausreichend.

habe auch mal vorhin durchlaufen lassen und dies hier entdeckt:
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=Trojan%3aWin32%2fMatsnu.L&threatid=2147682791

vom defender bereinigen lassen und fertig .

@Cesair

Cesair schrieb:Du musst dir keine Sorgen machen, dass dein Rechner ferngesteuert wird. diese zielgruppe repräsentierst du nicht.

Ja das glaube ich aucch. :)

Nur dann frage ich mich: Werden die Viren schon mal vorbeugend nach dem Gieskannenprinzip verbreitet, so nach dem Motto: wenn "wir" (die Viren-Erzeuger) irgendwann den "Richtigen" ausspähen wollen, dann hat er es wenigstens schon mal drauf?

Oder anders gefragt, warum werden die Viren nicht ganz gezielt bei den PC's eingeschleußt, die auch wirklich für die Kriminellen oder Geheimdiensten interessant sind?

Ich hab manchmal den Eindruck, Viren werden vielleicht auch mit nur deshalb programmiert, damit man danach gleich ein Virenprogramm anbieten kann. Könnte das sein? ;)

@Optimist
@Cesair

Cesair schrieb:ein Rootkit ist selbst nur eine "Vorbereitungshandlung" um andere Programme (unbemekrt) installieren zu können.

Ich habe mir jetzt den Wiki-Artikel nicht durchgelesen, aber ein RootKit kann wesentlich mehr. Zuallererst macht es in der Regel weitere Türen auf und das schlimme daran ist, daß es im Normalfall nicht bemerkt werden kann. Alle relevanten Einsprungsadressen in Betriebssystemroutinen werden verbogen, so daß erst einmal aller ausgeführte Code über den Rootkit muß. Dieses verbiegt dann munter weiter. Da das RootKit zuerst gestartet wird, also unter Umständen schon vor dem Betriebssystem, können auch das RootKit und andere Programme vor dem Virenscanner und weitere online laufende Programme zur Entfernung von Schadsoftware getäuscht werden. Da hilft dann auch kein "Zurücksetzten auf einen früheren Zeitpunkt" oder einfaches "Drüberinstallieren", sondern nur noch eine Neuinstallation mit vorheriger Formatierung der Systempartition.

@Optimist

Optimist schrieb:Oder anders gefragt, warum werden die Viren nicht ganz gezielt bei den PC's eingeschleußt, die auch wirklich für die Kriminellen oder Geheimdiensten interessant sind?

Aber das wurde doch bereits getan. Schaust Du hier:

Wikipedia: Stuxnet

Cesair schrieb:
Du musst dir keine Sorgen machen, dass dein Rechner ferngesteuert wird. diese zielgruppe repräsentierst du nicht.

Ja das glaube ich aucch. :)

Und wie kommt ihr da darauf? Ihr unterliegt einem Irrglauben wenn ihr denkt das "nur" eure Daten interessant für diese Leute sind. Diejenigen die nicht über Daten verfügen, die man gewinnbringend nutzen kann, die verfügen noch immer über Rechenpower. Was glaubt ihr wie viele nicht wissen das ihr PC Teil eines "Botnet" (Botnet) sind? Mal so als kleiner Augenöffner, denn von denen weiß niemand das er Teil des betreffenden Netzes (oder gar mehrere) ist:
Die grössten Botnetze

Es geht hier nicht um "Panikmache", aber man sollte immer die Augen offen halten und sich nie zu sicher fühlen, denn 100% Sicherheit gibt es im I-Net nicht :)

Optimist schrieb:
Übrigens ich werde immer begeisterter von Wind.8 - je mehr ich mich reinfuchse


bin ebenfalls der Meinung, schade dass es diesbezüglich sehr viele gegenmeinungen gibt, das liegt mMn aber auch an der schusseligen Politik von MS. Sie hätten es den Nutzern (noch) nicht aufzwingen dürfen. (die Modern-UI)

Ohne jemanden diffamieren zu wollen, aber: Diejenigen die Win8 verteufeln, haben es ehr nicht ausdauernd laufen gehabt und meist noch weniger Ahnung als ich... und ich habe schon sehr wenig Ahnung.
Das Problem mit Win8 war neben dem genannten Modern-UI das Entfernen des klassischen "Start-Menüs".... der Versuch eine Oberfläche einzuführen die für Touchscreen-Geräte ist fehlgeschlagen, aber nicht weil es schlecht war, sondern weil es (mMn) zu früh war, evtl. auch weil es für diveres Anwendungsbereiche nicht praktisch genug ist....
Was passiert? Die Medien zerreissen Windows8, im Netz tummeln sich Zweifler mit Meinungen die ohne eigene Erfahrung das Produkt schlecht machen. Die Nutzer die Win8 intensiver genutzt haben, haben ein sehr gutes System vorgefunden. Aber Microsoft hat trotz allem reagiert und einen Teil der "Bedienungsfreundlichkeit" mit v8.1 wieder eingeführt.
Wenn ich nicht Windows 8 für wirklich kleines Geld bekommen hätte, hätte ich es sicher nicht gekauft, da mein Win7 sauber und stabil lief. Nur: Für 15 Euro konnte ich nicht widerstehen :) Seit dem Update auf v8.1 bin ich sehr zufrieden und finde es schade das (mMn) Windows 8(.1) zum Sterben verdammt sein wird, da Windows 9 schon in den Startlöchern steht, befürchte ich das Windows 8 zum Lückenbüsser mutieren wird... was nict ganz so schlimm wird, wenn Microsoft aus Windows 8 wenigstens eine Sache gelernt hat: "Laß dem User die Wahl, denn viele User sind unflexibel und lernfaul...." :)

ornis schrieb:Da das RootKit zuerst gestartet wird, also unter Umständen schon vor dem Betriebssystem, können auch das RootKit und andere Programme vor dem Virenscanner und weitere online laufende Programme zur Entfernung von Schadsoftware getäuscht werden. Da hilft dann auch kein "Zurücksetzten auf einen früheren Zeitpunkt" oder einfaches "Drüberinstallieren", sondern nur noch eine Neuinstallation mit vorheriger Formatierung der Systempartition.

Jepp, und hier liegt das gefährliche. Wenn man einen "Virus" findet, dann weiss man erst einmal nur das eine infizierte Datei vorhanden ist. Seit wann diese vorhanden ist, ist aber nicht bekannt. Einige "Viren" installieren Kopien von sich in verschiedenen Verzeichnissen und unter verschiedenen Namen, dazu einen passenden Eintrag in der Registry und schon hat man den Salat :) Ein "Wiederherstellungspunkt" kann also bereits infiziert sein. Ich habe von daher ein Backup meines Systems zu einem frühstmöglichen Zeitpunkt. Allerdings hilft bei einem Rootkit, welches sich im BIOS einnistet erstmal nichts. Auch ist nicht unwichtig welche "Art" Rootkit man sich eingefangen hat: User-Level oder Kernel-Level. Letztere "dürfen" mehr und können so auch grösseren und unbemerkter Schaden zufügen.

Im Grunde kann man nur eines machen: Ein AV-Programm auswählen welches oft die Signaturdatenbank updatet. Denn je älter diese Datenbank umso höher die "Infektionsgefahr". Nicht alles von überall runterladen, ist auch eine gute Sache :D

Cesair schrieb:Deshalb gibt es AUCH die Quarantäne Zone, da sich manche Schadprogramme nicht so einfach löschen lassen, somit ist wenigstens die Ausführung blockiert.

Da muss ich noch einmal nachhaken: Das Programm kann, nach dem was Du geschrieben hast, nicht gelöscht werden, aber umbenannt und verschoben?
Die Berechtigungen die nötig sind um eine Datei zu verschieben sind (soweit ich weiß) die gleichen, die notwendig sind um zu löschen.
Kannst Du mir Deine Ausführung bitte kurz erklären? Danke.

@Hawkster

Vermutlich wird der Virenscanner den Schadcode im Speicher isolieren, kann ihn aber nicht beenden. Solange der Schadcode läuft, kann demzufolge auch nicht die zugrunde liegende Datei gelöscht werden. Was aber dann geht ist umbenennen. Nachdem der Rechner neu gestartet wurde und der Virenscanner den Ausfühung des Schadcodes erfolgreich verhindert, kann diese Datei dann physisch in die Quarantäne verschoben werden.

@ornis

Deiner Ausführung stimme ich zu. Absolut in Ordnung. Du sprichst von einer bereits ausgeführten und sich im Speiche befindilichen infizierten Datei. Bei @Cesair liegt der Fall, so wie er es formuliert hat, aber anders: Es wurde eine infizierte Datei gefunden (beim Scan) die infiziert ist. Wenn diese verschiebbar/umbenennbar ist, dann ist sie auch löschbar. Oder nicht?
Und das würde ich von @Cesair gerne erklärt bekommen, da ich davon ausgehe das es die gleichen Rechte/Berechtigungen betrifft. Aber ich lasse mich gerne eines bessern belehren.

@ornis
@Hawkster
Wieder vielen Dank für Eure Infos.

Hawkster, was Du über Win8 geschrieben hast (Lernfaulheit...) sehe ich auch schon alleine in meinem Bekanntenkreis. Niemand hat Lust oder traut sich, mal diverse Menüs und Funktionen auszuprobieren.
Die Meisten welche ich kenne, wissen nicht mal, dass es z.B. bei Word die nützliche Gliederungsfunktion gibt (hat natürlich nichts mit Windows zu tun, war nur mal als Beispiel für die prinzipielle Herangehensweise). Ist echt schade und somit ist dann solch ein schönes BS "Perlen vor die..." ;)

Hawkster schrieb: Ich habe von daher ein Backup meines Systems zu einem frühstmöglichen Zeitpunkt. Allerdings hilft bei einem Rootkit, welches sich im BIOS einnistet erstmal nichts. Auch ist nicht unwichtig welche "Art" Rootkit man sich eingefangen hat: User-Level oder Kernel-Level. Letztere "dürfen" mehr und können so auch grösseren und unbemerkter Schaden zufügen.

Das wundert mich jetzt, ich dachte das Bios ist schreibgeschützt?

Möchte das noch mal in Erinnerung bringen, falls ihr dazu was sagen wollt oder könnt:

Ein Trojaner KANN dazu genutzt werden, deinen PC fremd zu steuern.

--> O:
würde ich denn solche Aktionen nicht bemerken können - anhand von Verändernungen die nicht von mir stammen...?

Optimist schrieb:Das wundert mich jetzt, ich dachte das Bios ist schreibgeschützt?

Dir dürfte bekannt sein das man das BIOS updaten kann, oder? Nun, wenn ich es mit einer neuen BIOS-Version beschreiben kann, was hält jemanden davon ab auf diesem Wege Schadcode (hier ein BIOS-RootKit) im BIOS abzulegen?

Optimist schrieb:Möchte das noch mal in Erinnerung bringen, falls ihr dazu was sagen wollt oder könnt:

Du, ich, sehr viele von uns :) werden es nicht mitbekommen. Zum einen kommt es darauf an was der Trojaner für eine Aufgabe hat. Soll er "nur" meine gespeicherten Firefox-Passwörter (zB) aufspüren und an einen mir unbekannten Empfänger versenden, dann werde ich das sicher nicht (einfach so) mit bekommen. Eine Mail zu versenden die nirgends aufgelistet ist, ist wohl gerade für solche Menschen nicht schwierig. Das macht "auf Wunsch" jeder Keylogger.
Du müsstest alle laufende Prozesse Deines PCs kennen und zuweisen können, um zu sehen ob da etwas/jemand auf Deinem System "Unfug" treibt. Nehmen wir mal den Prozess "svchost.exe": Dieser Dienst erscheint x-mal im Taskmanager (hier mal Win7 als Beispiel), sollte einer dieser gestarteten Dienste aber ein Trojaner sein, ist es nicht zu erkennen.
Du kannst also nur einem AV-Programm vertrauen, versuchen Deinen Traffic zu beobachten (je nach Programm lassen sich Ziel, Paket ua. anzeigen).
Solange ein Trojaner oder was auch immer, nicht zu gierig in der Nutzung Deiner Resourcen ist, solange wirst Du es nicht feststellen. Netzwerktechniker oder System-Admin usw werden da ihre Tools und Lösungen haben solche Zugriffe zu protokollieren.

@Hawkster
Aha, alles klar. :)

Ich denke fast, das ist alles vergleichbar mit den Krebszellen im Menschen. Kein Mensch weiß, was da alles so schlummert, es bricht eben nur unter bestimmten Bedingungen aus.

Und wie weiter oben auch schon jemand geschrieben hatte, einen 100%igen Schutz kann es anscheinend sowieso nicht geben. Gläsern sind wir Alle auch schon mehr oder weniger, was soll's, dann kommts auf paar Hacker mehr oder weniger auch nicht mehr an. :)

@Optimist

Ach, komm schon :) Nicht so pessimisitsch :)

Du kannst zB in einer Sandbox surfen. Auch kann man mit nur einem Endgerät durchs I-Net schlendern, anstatt mit allen :)
Anonymes surfen via VPN ist auch eine Option. Oder nur verschlüsselte E-Mails versenden. Also im Bereich des PCs oder anderen Endgeräten lässt sich schon noch etwas machen. Aber eben auch nicht zu 100%. Braucht es auch nicht. Ein Virus der in der Sandbox landet kann keinen Schaden anrichten, da er nicht ins System kommt.

@Hawkster
das habe ich zu ungenau formuliert. natürlich sind die berechtigungen die gleichen, allerdings hatte ich schon bei einigen systemen den fall, dass dateien nicht löschbar waren, da sie sich vorher immer koopiert haben oder einfach trotzdem noch da waren (da also ein anderer mechanismus ursächlich war)
Die Quarantäne Zone ist auch nicht immer ein dedizierter Bereich im System, es gibt Programme, da besteht diese Zone nur aus einer Liste von Programmen, die nicht erlaubt sind zu öffnen, ohne dass diese verschoben werden.
Das antivir Programm kann also auch das öffnen unterbinden, ohne die Datei verschieben zu müssen.
Die Datei bleibt damit womöglich nicht veränderbar.
Außerdem gehen wir hier von infizierten Systemen aus und davon, dass die meisten User sowieso in der Administratorumgebung arbeiten.